INFORMATION

QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY

MÓDULO 3

Requerimientos PCI-DSS

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS DE PCI DSS

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
1
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS

El número total de Requerimientos y subrequerimientos pueden ir

entre 270 y 317, dependiendo de cómo cuentes las sentencias,
cláusulas y frases parciales.

La meta de los Controles/Requerimientos es evitar que ocurran

brechas y compromisos; y si estos suceden, tener sistemas
establecidos que permitan una rápida detección y recuperación.

3.2 3.4

0 12.8 3.1 3.3 6.5 250

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
ESTRUCTURA DE LA NORMA PCI DSS

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
2
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY

REQUERIMIENTO 1:

Instalar y mantener un
firewall para proteger
los datos de
tarjetahabiente

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 1.1 – 1.2 ESTÁNDARES DE
CONFIGURACIÓN DE FIREWAL

Proceso formal para aprobar conexiones externas y

realizar cambios a la configuración del firewall Estándar para Firewall
(que aísla el CDE de las
Un diagrama de red actualizado con todas las
conexiones (incluyendo wireless) y el flujo de datos de redes no confiables)
tarjetahabiente

Requerimientos para las conexiones del firewall a

Internet, y entre la DMZ y la red interna.

Descripción de los grupos, roles y

responsabilidades para la administración lógica de los
componentes de red. Configure el firewall con la
política “Negar Todo” al final
Documentación de todos los puertos y servicios
utilizados. del conjunto de reglas.

Justificar si se utiliza algún puerto o servicio riesgoso.

Realizar revisión formal a las reglas del firewall

Semestralmente

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
3
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
REGLAS DE FIREWALL DOCUMENTADAS

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 1.3 SEGMENTACIÓN DE
RED Y REGLAS DE FIREWALL

INTERNET CDE

Todo el Solo el Tráfico

Tráfico Permitido
(explícitamente
autorizado)

- NAT/PAT
- DMZ
- Network Ingress Filtering (No Conexiones directas
entre Internet y el CDE)
-Stateful Packet Inpection
-AntiSpoofing
-Copias de Configuración

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
4
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 1.3 - SEGMENTACIÓN DE RED Y REGLAS
DE FIREWALL
Restringe tráfico que ingresa a
la DMZ, y el que ingresa y sale
del CDE.

Inspección de paquetes
dinámica (stateful inspection)

Separadas BD con CHD y

Front End

Firewall Separar el CDE de las redes

inalámbricas (para controlar y
para negar).

Debe estar instalado en los

TELEWORKERS (Work at Home Agents) equipos móviles y en equipos
de empleados con acceso a
Sus Estaciones deben tener Personal Firewalls Internet. Personal/Desktop
Firewall

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY

REQUERIMIENTO 2:

No use contraseñas ni
configuraciones por
defecto provistas por
el proveedor

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
5
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 2.1 CONFIGURACIONES
POR DEFECTO

Cambie toda la configuración por defecto

(contraseñas, SNMP community strings, llaves
WPA, SSID, entre otros) antes de instalar un
sistema en la red.

En
INTERNET!!!

http://cirt.net/passwords

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 2.2 ESTÁNDAR DE
CONFIGURACIÓN DE SISTEMAS
Todos los sistemas que hacen parte del CDE
deben tener guías de configuración estándar.
(hardening) y aplicarlas

Joint USSS/FBI Advisory

http://usa.visa.com/download/merchants/2009
0212-usss_fbi_advisory.pdf
http://cisecurity.org/en-us/?route=downloads.multiform
http://web.nvd.nist.gov/view/ncp/repository

Proyecto Bastilla para

Linux OS y HP-UX

•Cisco Guide to
Harden Cisco IOS Device
IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
6
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

MÓDULO 3
SOLO UNA FUNCION PRINCIPAL POR
SERVIDOR
Antes (PCI DSS 1.2)

2.2.1 Implemente solo una Función Principal por Servidor

Ahora (PCI DSS 2.0)

2.2.1 Implemente solo una función principal por servidor para evitar que funciones que
requieren distintos niveles de seguridad coexistan en el mismo servidor Nota: donde
tecnologías de virtualización sean utilizadas, implemente solo una función principal
por servidor virtual.

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 2.3 ACCESOS
ADMINISTRATIVOS (NO CONSOLA)

Cifre cualquier acceso ADMINISTRATIVO

que no sea por consola (SSH, VPN,
SSL/TLS).
Ej. 992 TCP Secure Telnet over TLS/SSL

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
7
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY

REQUERIMIENTO 3:

Proteger Datos
almacenados de
Tarjetahabiente.

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
CICLO DE VIDA DE LOS DATOS

Recolección
de datos

Retención y Almacenamiento
destrucción de de datos
datos

Compartir los
Uso de datos
datos

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
8
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
TABLA DE RETENCIÓN DOCUMENTAL

Manejo, Conservación y Borrado de Data en Servidores y PCs, cintas, CDs, Medios

removibles.

La Matriz sugerida de Datos de tarjetahabiente por el PCI SSC:

•Nombre del área/rol y/o del PC o servidor donde se encuentran los datos.
•Datos que almacenan
•Razón de su almacenamiento (Un área o una persona debe demostrar o probar que requieren
acceso al PAN completo).
•Periodo de retención
•Mecanismo de protección

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
DATA DISCOVERY

Requerimiento 3: Proteger Datos de TarjetaHabiente Almacenados

3.1 Políticas y Procedimientos de Retención y Disposición de Datos

Un Proceso Automático o Manual para identificar y borrar (de

forma segura) CHD que exceden requerimientos de retención definidos.
Requisitos para una revisión al menos trimestral. (3.1.d)

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
9
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTO 3.2

PTS y PA DSS ayudan a cumplir con este requerimiento:

Datos de transacciones entrantes.

Todos los registros (por ejemplo, transacciones, historiales, depuración, error).

Archivos de historial.
¿Excepciones a este
Archivos de seguimiento. requerimiento ?
Esquemas de bases de datos.

Contenidos de bases de datos

Pre-authorization vs. Authorization
IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 3.3 Y 3.4 ESTRATEGIAS PARA OCULTAR LA
INFORMACIÓN

Implementar técnicas para dejar los datos inútiles a los ”adversarios”

Enmascaramiento (Masking): Método para ocultar un segmento de datos del PAN, cuando son
mostrados/desplegados.

*3.3 no aplica a empleados y otras partes en la organización con necesidad legítima de

negocio de ver el PAN completo.

Truncado (Truncation): Método para dejar el PAN ilegible de forma permanente, al remover un
segmento del PAN. (6 + 4)

Tokenización (Index Token): Un token criptográfico que reemplaza el PAN, basado en un índice de
valor impredecible

Cifrado Fuerte Precaución

Hashing (fuerte) ¿Cuál de estos métodos reduce el alcance ?
Que pasa si en un mismo servidor hay PAN transformados en
hash, y truncados?

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
10
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
CIFRADO STACK

FPE (Format Preserving

Encryption): Este tipo de
encripción preserva el
Aplicación Aplicación Aplicación formato del número de la
1 2 2 tarjeta. Para impedir o
reducir los cambios en
bases de datos y software.

Base de Datos TDE, DEE

Cifrado a nivel de
Columna,
Sistema Operativo TableSpace

Cifrado en Disco,
Cifrado en
Archivo/Directorio

¿Se debe cifrar en memoria ? (swap files, temporary folders, pagefile.sys )

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTO 3 en Contact Centers

Veritape CallGuard
SEMAFONE

Verint-Witness, NICE, ASC Telecom, Red Box Recorders, CallCopy, ComputerTel, Retell, CTI,
Audiosoft, Cybertech, eTalk-Autonomy, Magnetic North, Oak, DTS Smartcall, Voicenet,
Storacall, TISL, Ultra, Versadial, Voicesafe, Xarios, Liquid Voice

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
11
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 3.4.1 SI HAY CIFRADO EN DISCO

Maneje el acceso lógico independientemente del control de acceso del

sistema operativo.

No use cuentas de directorio activo ni locales del sistema.

No vincule llaves de cifrado a cuentas de usuario del sistema operativo.

La encripción a nivel de disco puede ser implementada a través de

múltiples capas virtuales- Por ejemplo, en el S.O. HOST, dentro de la
VM, ó en un disco duro separado, que es accesible desde la VM o el
HOST

Precaución: se puede perder el cifrado cuando se mueva una imagen VM

a otro HOST

IQ INFORMATION QUALITY SAS CONFIDENCIAL

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 3.5 PROTECCION DE LLAVES DE CIFRADO

Proteja las llaves de encripción contra mal uso o divulgación (Tanto KEK y
DEK)

 Restrinja el acceso a la mínima cantidad de custodios.

 Guarde las llaves de la forma más segura posible (y en la menor cantidad de
ubicaciones)

La gestión de llaves puede incluirse en módulos de hardware (HSM) o

productos de software de cifrado.

 Verifique que el producto implemente gestión de llaves.

 La documentación del proceso de gestión de llaves del producto es necesaria,
excepto, si ésta se encuentra documentada en el manual del producto.
 Precaución con la función de Gestión de Llaves en Ambientes virtualizados.

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
12
 INFORMATION
QUALITY
MATERIAL – CURSO PCI – DSS AÑO 2013

INFORMATION
QUALITY
MÓDULO 3
REQUERIMIENTOS 3.6 GESTIÓN DE LLAVES DE CIFRADO

Documentar e implementar todos los procesos y procedimientos de gestión de llaves,

incluyendo:

 Generación de llaves fuertes

 Distribución segura de llaves (No distribuidas en claro, solo a custodios asignados)
 Almacenamiento seguro de llaves (No almacenarlas en claro)
 Cambio periódico de llaves (CryptoPeriodo).
 Destrucción de llaves antiguas
 Control dual de llaves y Split knowledge (operaciones manuales o donde el
producto de encripción no tiene implementado Key Management)
 Prevención de sustitución no autorizada de llaves.
 Reemplazo de llaves comprometidas (o en sospecha de compromiso).
 Revocación de llaves antiguas o inválidas
 Firma de responsabilidad de uso de custodios.

IQ INFORMATION QUALITY SAS CONFIDENCIAL

Este documento contiene información confidencial queda prohibida su

reproducción, distribución y copia.
13